Azure AD Uygulama Ara Sunucusu ile özel etki alanlarını yapılandırma

Bir uygulamayı Azure Active Directory Uygulama Ara Sunucusu yayımlarsanız kullanıcılarınız için bir dış URL oluşturun. Bu URL, varsayılan etki alanı adını yourtenant.msappproxy.net. Örneğin, Contoso adlı kiracınıza Expenses adlı bir uygulama yayımlarsanız dış URL şu şekildedir: / /expenses-contoso.msappproxy.net. yerine kendi etki alanı adınızı kullanmak msappproxy.net, uygulamanıza özel bir etki alanı yapılandırabilirsiniz.

Özel etki alanlarının avantajları

Mümkün olduğunca uygulamalarınız için özel etki alanları ayarlamak iyi bir fikirdir. Özel etki alanlarını kullanmanın bazı nedenleri şunlardır:

  • Uygulamalar arasındaki bağlantılar şirket ağının dışında bile çalışır. Özel bir etki alanı olmadan, uygulamanıza dış hedeflere yönelik sabit kodlu iç bağlantılar Uygulama Ara Sunucusu bağlantılar harici olarak çözümlenebilir durumda değilse, bunlar kırılabilir. İç ve dış URL'ler aynı olduğunda bu sorundan kaçınarak. Özel etki alanlarını kullanasanız, bu sorunu çözmenin diğer yolları için bkz. Azure AD Uygulama Ara Sunucusu yayımlanan uygulamalar için sabit koda sahip bağlantıları yeniden yönlendirme.

  • Kullanıcılarınız daha kolay bir deneyime sahip olur çünkü ağ içinden veya ağ dışından aynı URL'ye sahip uygulamaya erişim sağlar. Farklı iç ve dış URL'leri öğrenmeleri veya geçerli konumlarını izlemeleri gerek yok.

  • Markanızı kontrol altında bulundurarak istediğiniz URL'leri oluşturabilirsiniz. Özel bir etki alanı, kullanıcıların güvenlerini oluşturmanıza yardımcı olabilir çünkü kullanıcılar etki alanı yerine tanıdık bir ad msappproxy.net.

  • Bazı yapılandırmalar yalnızca özel etki alanlarıyla çalışır. Örneğin, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanırken Security Assertion Markup Language (SAML) kullanan ancak WS-Federation kullanamayan uygulamalar için özel etki alanları gerekir. Daha fazla bilgi için bkz. Uygulama Ara Sunucusu'de talep Uygulama Ara Sunucusu.

İç ve dış URL'lerin eşleşmesi mümkün değilse, özel etki alanlarını kullanmak o kadar önemli değildir, ancak diğer avantajlardan yine de faydalanabilirsiniz.

DNS yapılandırma seçenekleri

Gereksinimlerinize bağlı olarak DNS yapılandırmanızı ayarlamaya için çeşitli seçenekler vardır:

Aynı iç ve dış URL, farklı iç ve dış davranış

Şirket içi kullanıcılarınızı bu etki alanı üzerinden yönlendirecek şekilde Uygulama Ara Sunucusu, ayrık beyinli bir DNS oluşturabilirsiniz. Bölünmüş DNS altyapısı, ad çözümlemesi için iç konakları bir iç etki alanı adı sunucusuna ve dış konakları bir dış etki alanı adı sunucusuna yönlendirer.

Ayrık beyinli DNS

Farklı iç ve dış URL'ler

İç ve dış URL'ler farklı ise, kullanıcı yönlendirme URL'si tarafından belirlene olduğundan bölünmüş beyin davranışını yapılandırmanız gerek değildir. Bu durumda, yalnızca dış DNS'yi değiştirir ve dış URL'yi Uygulama Ara Sunucusu yönlendirebilirsiniz.

Dış URL için özel bir etki alanı seçerek, bilgi çubuğunda dış DNS sağlayıcısına eklemeniz gereken CNAME girişi gösterilir. Bu bilgileri her zaman uygulamanın Uygulama ara sunucusu sayfasına gidip görebilirsiniz.

Özel etki alanlarını ayarlama ve kullanma

Bir şirket içi uygulamayı özel etki alanı kullanmak üzere yapılandırmak için doğrulanmış bir Azure Active Directory özel etki alanı, özel etki alanı için PFX sertifikası ve yapılandırılan bir şirket içi uygulama gerekir.

Önemli

Özel etki alanlarınızı etki alanınıza yönlendiren DNS kayıtlarını korumak msappproxy.net olur. Daha sonra uygulama veya kiracınızı silmeyi seçerseniz, dns kayıtlarının yanlış kullanımını önlemek Uygulama Ara Sunucusu ilgili DNS kayıtlarını da silebilirsiniz.

Özel etki alanı oluşturma ve doğrulama

Özel etki alanı oluşturmak ve doğrulamak için:

  1. Bu Azure Active Directory gezinti bölmesinde Özel etki alanı adları'nın ardından Özel etki alanı ekle'yi seçin.
  2. Özel etki alanı adınızı girin ve Etki Alanı Ekle'yi seçin.
  3. Etki alanı sayfasında, etki alanınız için TXT kaydı bilgilerini kopyalayın.
  4. Etki alanı kayıt şirketinize gidin ve kopyalanan DNS bilgilerine göre etki alanınız için yeni bir TXT kaydı oluşturun.
  5. Etki alanını kaydettikten sonra, etki alanının etki alanı sayfasında Azure Active Directory'yi seçin. Etki alanı durumu Doğrulandı olduktan sonra, etki alanını etki alanınız dahil olmak üzere tüm Azure AD yapılandırma Uygulama Ara Sunucusu.

Daha ayrıntılı yönergeler için bkz. Azure Active Directory portalını kullanarak özel etki Azure Active Directory ekleme.

Uygulamayı özel etki alanı kullanmak üzere yapılandırma

Özel etki alanıyla Uygulama Ara Sunucusu yayımlamak için:

  1. Yeni bir uygulama için, Azure Active Directory sol gezinti Enterprise uygulamaları seçin. Yeni uygulama’yı seçin. Şirket içi uygulamalar bölümünde Şirket içi uygulama ekle'yi seçin.

    Uygulamalara önceden Enterprise uygulama için, listeden uygulamayı seçin ve ardından sol gezinti bölmesinde Uygulama ara sunucusu'Enterprise seçin.

  2. Şirket Uygulama Ara Sunucusu sayfasında, kendi şirket içi uygulamanızı ekliyorsanız bir Ad girin.

  3. İç Url alanına, uygulamanıza göre dahili URL'yi girin.

  4. Dış Url alanında listeyi aşağı bırakın ve kullanmak istediğiniz özel etki alanını seçin.

  5. Add (Ekle) seçeneğini belirleyin.

    Özel etki alanı seçme

  6. Etki alanında zaten bir sertifika varsa, Sertifika alanı sertifika bilgilerini görüntüler. Aksi takdirde Sertifika alanını seçin.

    Sertifikayı karşıya yüklemek için tıklayın

  7. SSL sertifikası sayfasında PFX sertifika dosyanıza göz atın ve dosyayı seçin. Sertifikanın parolasını girin ve Sertifika'Upload seçin. Sertifikalar hakkında daha fazla bilgi için Özel etki alanları için sertifikalar bölümüne bakın. Sertifika geçerli değilse veya parolayla ilgili bir sorun varsa bir hata iletisi alırsınız. SSS Uygulama Ara Sunucusu, deneyebilirsiniz bazı sorun giderme adımlarını içerir.

    Upload Sertifika

    İpucu

    Özel etki alanının sertifikasını yalnızca bir kez karşıya yüklemesi gerekir. Bundan sonra, diğer uygulamalar için özel etki alanını kullanırken karşıya yüklenen sertifika otomatik olarak uygulanır.

  8. Bir sertifika eklediyebilirsiniz. Uygulama ara sunucusu sayfasında Kaydet'i seçin.

  9. Uygulama ara sunucusu sayfasındaki bilgi çubuğunda, DNS bölgenize eklemeniz gereken CNAME girişini not edin.

    CNAME DNS girişi ekleme

  10. Yeni dış URL'yi Azure portal etki alanına yeniden yönlendiren bir DNS kaydı eklemek için DNS kayıtlarını ve kayıt kümelerini yönetme msappproxy.net izleyin.

Önemli

Etki alanına göre bir CNAME kaydını düzgün bir şekilde msappproxy.net olun. Kayıtları IP adreslerine veya sunucu DNS adlara yönlendirmeyin çünkü bunlar statik değildir ve hizmetin karşıtlığını etkileyebli olabilir.

  1. DNS kaydının doğru yapılandırıldığından emin olmak için nslookup komutunu kullanarak dış URL'nize ulaşıldığından ve msapproxy.net etki alanının diğer ad olarak görüntülendiğinden emin olun.

Uygulamanız artık özel etki alanını kullanmak üzere ayarlanmıştır. Uygulamayı test etmek veya serbest bırakmak için uygulamanıza kullanıcı atadığınıza emin olun.

Bir uygulamanın etki alanını değiştirmek için, uygulamanın Uygulama ara sunucusu sayfasındaki Dış URL'de açılan listeden farklı bir etki alanı seçin. Upload, güncelleştirilmiş etki alanı için bir sertifika seçin ve DNS kaydını güncelleştirin. Dış URL'de açılan listede istediğiniz özel etki alanını görmüyorsanız, etki alanı doğrulanmamış olabilir.

Daha ayrıntılı yönergeler için Uygulama Ara Sunucusu öğretici: Azure Active Directory'dauzaktan erişim için Uygulama Ara Sunucusu uygulama ekleme.

Özel etki alanları için sertifikalar

Sertifika, özel etki alanınız için güvenli TLS bağlantısını oluşturur.

Sertifika biçimleri

Tüm gerekli ara sertifikaların dahil olduğundan emin olmak için bir PFX sertifikası kullan gerekir. Sertifika özel anahtarı içermeli.

Konu Diğer Adı (SAN) gibi en yaygın sertifika imza yöntemleri de desteklemektedir.

Joker karakter dış URL ile eş olduğu sürece joker karakter sertifikalarını kullanabilirsiniz. Joker karakterler uygulamaları için joker sertifikalar kullan gerekir. Sertifikayı alt etki alanlarına da erişmek için kullanmak için, alt etki alanı joker karakterlerini aynı sertifikaya konu alternatif adları olarak eklemeniz gerekir. Örneğin, * .adventure-works.com bir konu alternatif adı olarak * .apps.adventure-works.com * eklemedikçe .apps.adventure-works.com için bir sertifika çalışmaz.

Sertifika zinciri istemci cihazlarınıza yüklendiyse, kendi ortak anahtar altyapınız (PKI) tarafından verilen sertifikaları kullanabilirsiniz. Intune bu sertifikaları yönetilen cihazlara dağıtabilirsiniz. Yönetilmeyen cihazlar için bu sertifikaları el ile yüklemeniz gerekir.

Özel kök CA'nın da istemci makinelerine de itilmiş olması gerektire çünkü birçok zorlukla karşı karşıya kaldığından özel kök CA kullanılması önerilmez.

Sertifika yönetimi

Tüm sertifika yönetimi tek tek uygulama sayfaları aracılığıyla dır. Sertifika alanına erişmek için uygulamanın Uygulama ara sunucusu sayfasına gidin.

Bir uygulama için bir sertifika karşıya yüklendiktan sonra aynı sertifikayı kullanan yeni uygulamalara da otomatik olarak uygulanır. Kiracınız içinde mevcut uygulamalar için sertifikayı yeniden karşıya yüklemeniz gerekir.

Bir sertifikanın süresi dolduğunda, başka bir sertifikayı karşıya yüklemenizi söyleyen bir uyarıyla karşı karşıya yükleyebilirsiniz. Sertifika iptal edilirse kullanıcılarınız uygulamaya erişirken bir güvenlik uyarısı görebilir. Bir uygulamanın sertifikasını güncelleştirmek için uygulamanın Uygulama ara sunucusu sayfasına gidin, Sertifika 'yi seçin ve yeni bir sertifika yükleyin. Eski sertifika diğer uygulamalar tarafından kullanılmazsa otomatik olarak silinir.

Sonraki adımlar